SAP corrige une faille critique de Hana, donnant un accès total aux données

Alerté par Onapsis, SAP bouche une série de vulnérabilités affectant un composant de sa base In-Memory. Un bug qui permet de bypasser l’authentification et d’accéder à toutes les données.

SAP publie un patch de sécurité visant à combler des vulnérabilités de Hana, sa plateforme de gestion de données au cœur de son offre applicative depuis que le premier éditeur européen a décidé de tourner le dos aux bases de données relationnelles d’Oracle, Microsoft ou IBM. Mises en évidence par la société Onapsis, une petite société qui s’est fait connaître par ses découvertes relatives à la sécurité des ERP, ces failles permettent, en l’absence de tout code d’accès, de prendre le contrôle d’un environnement Hana et d’en extraire ou modifier les données. Etant donné le rôle clef que joue cette base de données In-Memory dans de nombreuses organisations, les conséquences peuvent être très lourdes : vol du fichier clients, désorganisation des processus clefs de l’entreprise, fraudes (par exemple en modifiant les comptes bancaires), etc.

Les vulnérabilités découvertes par Onapsis touchent un composant appelé User Self Service (USS). Désactivé par défaut, USS est mis en service quand des organisations souhaitent donner accès au système à des utilisateurs externes. C’est à ce moment que la possibilité d’exploitation se fait jour. Les chercheurs d’Onapsis ont découvert les failles dans Hana 2, sortie en novembre dernier, mais estiment qu’elles devraient également être présentes dans d’autres technologies SAP animées par la base In-Memory (Hana première version, S/4, Business Suite on Hana), USS ayant vu le jour en octobre 2014.

Corriger même si USS est désactivé

A ce jour, rien n’indique que la vulnérabilité ait été exploitée par un assaillant, mais Sebastian Bortnik, le directeur de la recherche d’Onapsis, estime que, comme la faille existe depuis 29 mois, cette possibilité existe bel et bien. Evidemment, l’application du patch publié par SAP, moins de 60 jours après avoir été prévenu par Onapsis, est hautement recommandé. Y compris au sein des entreprises n’ayant pas activé USS, « au cas où un changement interviendrait sur le système dans le futur », justifie Sebastian Bortnik.

Le correctif pour ces vulnérabilités USS a été publié dans le cadre du Patch Tuesday de SAP, que l’éditeur dévoile le second mardi du mois. Cette alerte de sécurité a reçu une priorité « très élevée » de la part de l’éditeur allemand, soit le niveau le plus haut parmi les 27 bulletins de ce mois. Au total, 5 alertes du mois de mars concernent Hana, dont une autre classée en priorité élevée peut aboutir à une élévation de privilèges sur l’installation par défaut de la version 2 de la technologie In-Memory.

A lire aussi :

https://blogs.sap.com/2017/03/14/sap-security-patch-day-march-2017/

Une vieille faille SAP expose les données des entreprises négligentes

S/4 Hana : le nouvel ERP de SAP scelle le divorce d’avec Oracle

crédit photo © i3d – shutterstock